Séance en hémicycle du 14 janvier 2016 à 11h00
Sommaire
La séance
La séance est ouverte à onze heures.
Le compte rendu analytique de la précédente séance a été distribué.
Il n’y a pas d’observation ?…
Le procès-verbal est adopté sous les réserves d’usage.
L’ordre du jour appelle le débat, organisé à la demande de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, sur les conclusions de son rapport intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises (Rapport n° 271, 2014-2015).
Dans le débat, la parole est à M. le premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques.
Monsieur le président, madame la secrétaire d'État, mes chers collègues, j’ai aujourd’hui l’honneur et le plaisir de vous présenter le rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques sur le risque numérique, intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises, rapport dont l’élaboration avait été confiée à Mme Anne-Yvonne Le Dain, députée et vice-présidente de l’Office, ainsi qu’à moi-même.
Saisi par la commission des affaires économiques du Sénat, l’Office a adopté un rapport qui a nécessité une centaine d’auditions, dont trois journées d’auditions publiques et des déplacements. Le document a été présenté à la commission des affaires économiques au mois de juin 2015.
Le président de cette commission, M. Jean-Claude Lenoir, que je salue, a estimé que l’intérêt des recommandations méritait leur présentation au nom de l’Office en séance plénière du Sénat, ce dont je le remercie, ainsi que la conférence des présidents, au nom de l’Office.
En concertation avec le précédent président de la commission des affaires économiques du Sénat, M. Daniel Raoul, la réflexion a été centrée sur les entreprises constituant des opérateurs d’importance vitale, les OIV, et en priorité sur celles du secteur des télécommunications et du secteur de l’énergie. Soumises à des directives nationales de sécurité, les fameuses DNS, qui imposent des obligations extrêmement précises, ces entreprises ne doivent en aucun cas voir leur fonctionnement interrompu, notamment pas en raison d’une défaillance de leur système d’information numérique.
Les activités desdits opérateurs dépendent de la fiabilité de la chaîne de sécurité numérique qu’ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.
Le présent rapport est centré sur la sécurité que doit présenter une technique nouvelle à évolution extrêmement rapide et moins familière qu’on ne le croit.
L’élaboration du rapport de l’Office a été jalonnée par les annonces du Gouvernement, en 2014, au sujet du dépôt, plusieurs fois ajourné, d’un ambitieux projet de loi sur le numérique.
Ainsi le Gouvernement et nous-mêmes avons conclu que la sécurité numérique, voire la sécurité tout court ne pouvait être assurée qu’à partir de mesures reliées entre elles.
Au mois de mai 2015, Mme Axelle Lemaire, secrétaire d'État chargée du numérique, a invité les rapporteurs de l’Office à venir lui présenter leurs travaux. Elle a réservé le meilleur accueil à leurs recommandations. Je l’en remercie.
Tout récemment, la secrétaire d’État a élaboré un projet de loi relatif au numérique et aux libertés individuelles. Un autre projet de loi portant sur les aspects plus économiques du numérique est annoncé. Mais aucun de ces deux textes ne concerne directement la sécurité numérique des entreprises. C’est davantage l’objet de la stratégie nationale pour la sécurité du numérique, présentée par M. le Premier ministre au mois d’octobre 2015.
Certaines mesures de cette stratégie nationale rejoignent les propositions émises par l’Office au début de l’année 2015, comme l’atteste la synthèse du rapport de l’OPECST qui vous a été adressée voilà quelques semaines.
Les ramifications du numérique constituent le système nerveux de la société et même, en partie, celui des individus, d’où l’impossibilité de scinder les préoccupations de sécurité en divers segments d’études. C’est ce qu’ont toujours su les attaquants des systèmes numériques.
Déjà, depuis quelques années, pour relever le défi de la sécurité numérique, de réels moyens ont été développés. Je pense à la création, en 2009, de l’Agence nationale de sécurité des systèmes d’information, l’ANSSI, qui a succédé à d’autres dispositifs, mais en les renforçant. Toutefois, cette agence ne saurait résoudre à elle seule toutes les questions posées par les failles de la sécurité numérique, ni parer toutes les attaques.
En effet, cette question transversale de sécurité suppose l’acquisition par l’ensemble de la société d’une culture du numérique, ainsi que d’une éducation initiale et continue à la hauteur des services rendus par la technique, à la fois en dépit et en raison des fragilités qu’elle recèle.
Les rapporteurs de l’OPECST sont partis d’une réflexion sur le mécanisme de transmission d’un message au sein du système d’information de l’entreprise et sur les fragilités, souvent de conception, des matériels, des logiciels, des réseaux, des services et des diverses applications numériques.
La mission de l’Office consiste à comprendre et à faire comprendre les raisons de ces fragilités, thème particulièrement technique, et à proposer des solutions.
Ainsi, qu’en est-il du pillage organisé des informations des entreprises ? Des tiers, des concurrents vont puiser dans ces informations comme dans un libre-service.
La situation de l’économie française s’accommode-t-elle de tels pillages ? Ou bien résulte-t-elle en partie de ceux-ci, alors justement qu’ils durent depuis des années ?
Cependant, le rapport montre que les imperfections constatées constituent également des chances à saisir, car la situation comporte bien des facettes pouvant inciter à une mobilisation constructive.
La France possède de nombreux atouts en ce domaine. En effet, sans même parler des fabricants d’antivirus, les connaissances de l’école française de mathématiques, alliées à une grande tradition en matière de cryptologie et de cryptographie, les ressources des centres de recherche de la Direction générale de l’armement, la DGA, ou de l’Institut national de recherche en informatique et en automatique, l’INRIA, pour ne citer qu’eux, devraient permettre de conforter les entreprises œuvrant dans ces domaines.
Pour mettre en valeur de tels atouts français, il faut se débarrasser de préjugés et d’attitudes routinières. Je pense par exemple aux préjugés négatifs associés à l’image des hackers, dont certains pourraient être employés par l’administration française pour élaborer des solutions de prévention et de riposte aux attaques numériques, à condition d’être recrutés à des niveaux de salaires en rapport avec leur haute technicité. Cela ralentirait le départ vers l’étranger de ces compétences indispensables.
Il faudrait également éviter que de jeunes entreprises extrêmement innovantes dans le numérique ne soient aussitôt rachetées par des financiers d’outre-Atlantique venus, en quelque sorte, faire leur marché en France.
Mais les comportements de chacun d’entre nous sont-ils adaptés aux exigences de la sécurité numérique, trop souvent négligée dans la vie quotidienne ?
Par exemple, qui d’entre nous hésite avant de s’abonner à une messagerie électronique contrôlée par une firme étrangère et d’accepter d’un clic toutes les conditions qu’elle pose ? Qui prend le temps minimal de réflexion avant de choisir la voie la plus sécurisée pour transmettre un message urgent et/ou confidentiel ? Les assemblées, les collectivités territoriales sont-elles en pointe quant à la sécurité informatique ? Qu’en est-il enfin des entreprises les plus au fait en matière de technologie de sécurité numérique ?
Parmi la vingtaine de recommandations prioritaires retenues par l’Office, certaines concernent l’éducation nationale. Il est ainsi proposé d’enseigner le codage de manière ludique dès l’école maternelle et de créer une véritable filière d’enseignement de l’informatique incluant systématiquement des modules significatifs sur sa sécurité, et ce jusque dans l’enseignement supérieur.
La situation actuelle est malheureusement loin de traduire le respect d’une telle exigence, d’abord parce que l’informatique est souvent absente des programmes ou doit se contenter d’un nombre d’heures restreint, de surcroît malheureusement non couplé, ou si peu, à un enseignement de la sécurité du numérique, y compris dans les écoles spécialisées...
Que devraient être les effectifs, les compétences, la réactivité et la formation continue des enseignants spécialisés censés faire face à cette nouvelle demande ?
Plus généralement, il faut rappeler que les contextes international, européen et national actuels se caractérisent par une totale symbiose entre le numérique et la société.
Il est donc inutile d’élever des digues juridiques ou technologiques si des accords internationaux ou la réalité d’un rapport de force non encadré viennent dans le même temps ruiner ces efforts.
Ainsi, ont été explicités dans le rapport les enjeux de la négociation actuelle du traité de partenariat transatlantique, les raisons du rythme d’avancée de l’élaboration de la directive et du projet de règlement européens, ou, en France, de la maturation de la stratégie nationale pour la sécurité du numérique, ainsi que du ou des textes sur le numérique.
La protection simultanée des droits et libertés dans l’univers numérique et la protection de la souveraineté numérique de la France comme de l’Union européenne supposent également des mesures techniques.
Ces objectifs vitaux doivent primer la libre circulation des marchandises, l’abaissement des droits de douane ou l’instauration d’une concurrence libre et non faussée.
Ne faudrait-il pas aller jusqu’à concevoir une exception numérique d’après le modèle de l’exception culturelle, qui a sauvé l’industrie cinématographique française quand celle-ci était menacée par des principes commerciaux qui prétendaient la dominer, tandis que de grands cinémas d’autres pays d’Europe n’ont pas survécu à l’application de ces principes ?
De même, dans le numérique, avant qu’il ne soit définitivement trop tard, toutes les chances doivent être mises de notre côté pour que des industries françaises et européennes puissent concevoir, fabriquer ou, au moins, contrôler pour les labelliser, les matériels, les logiciels, les systèmes d’exploitation et les cœurs de réseaux qui forment la longue chaîne de la sécurité numérique.
Pour expliciter une réalité numérique multiple difficile à appréhender, l’Office a conçu pour son rapport d’indispensables schémas, plus explicites que de longs discours.
Je pense, par exemple, au « schéma de l’éléphant », pour illustrer la perception trop parcellaire du numérique, ce que traduisent aussi d’ailleurs la juxtaposition des initiatives gouvernementales et européennes, le foisonnement de rapports parlementaires ou autres traitant de certains aspects de ce thème : ouverture des données ou open data, traitement des données massives ou big data, gouvernance mondiale de l’internet, ou encore le numérique aux États-Unis d’Amérique...
Toutes ces questions sont interdépendantes. La sécurité numérique est présente derrière chacune d’entre elles et devrait permettre, peut-être, de reconstituer le puzzle des internets et de tous les aspects du numérique en général.
De l’ensemble de tous les liens entre ces divers éléments, de leur continuité, de leur intégrité, dépend la sécurité numérique en général, en particulier celle, très ramifiée, des entreprises.
Mais très peu de ces initiatives ou rapports ont approfondi la question transversale, et essentielle, de l’insécurité découlant du recours croissant au numérique par les entreprises.
À cet égard, la recommandation de l’Office consistant à couper totalement de l’Internet les SCADA, c’est-à-dire les systèmes numériques commandant la production d’une entreprise, n’est pas si radicale qu’il y paraît. Elle l’est d’autant moins au regard de l’anecdote éclairante de la pénétration du système des SCADA d’un hôpital nord-américain par un adolescent de seize ans réussissant à bloquer la climatisation de cet établissement et exigeant ensuite, naturellement, le paiement d’une rançon pour rétablir le bon fonctionnement de ce sanctuaire de santé.
Ce fait est à rapprocher de la possibilité d’acquérir dans le commerce des logiciels d’attaques informatiques.
Cependant, au-delà des failles technologiques, les failles humaines, souvent inconscientes, entraînent les plus graves vulnérabilités, d’où l’ampleur de l’effort d’éducation et, plus généralement, de l’action de sensibilisation à mener jusqu’à l’acquisition des indispensables réflexes d’une hygiène numérique ; le rapport propose des pistes pour les acquérir.
En effet, toute nouvelle avancée du numérique doit proposer des instruments de sécurité, d’une sécurité « par conception », comme disent les spécialistes, malheureusement toujours quasi absente de la conception des objets connectés.
Mais je vois que je suis trop long, monsieur le président, et j’en viens à ma conclusion.
L’Office a émis une vingtaine de recommandations générales, ainsi qu’une centaine de recommandations plus techniques dans un vade-mecum destiné à ceux qui voudraient approfondir la question. Chacun d’entre nous peut immédiatement en tirer des leçons pour son comportement numérique quotidien personnel.
Nos recommandations concernent les trois phases d’une attaque numérique : avant, pendant et après l’attaque. La vigilance doit être permanente.
Face au risque numérique, il s’agit de renforcer les conditions de la sécurité numérique et aussi de favoriser les conditions de la confiance à placer dans l’usage du numérique.
Je souhaite vivement que ce rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, l’OPECST, qui a reçu un très bon accueil des professionnels de la sécurité numérique et des sites spécialisés, puisse avoir les retombées les plus concrètes et les plus rapides possible.
Applaudissements.
Monsieur le président, madame la secrétaire d’État, mes chers collègues, « chômage technologique » pour Keynes, « destruction créatrice » pour Schumpeter, si les technologies porteuses de progrès rendent obsolètes certains emplois, elles permettent fort heureusement l’émergence de nouveaux métiers.
Force est de constater qu’aujourd’hui le numérique crée de la valeur et constitue un réel levier pour la croissance économique. L’importance de leur patrimoine informationnel, mais aussi de leur réputation auprès de leurs clients, implique pour les entreprises de recourir à des savoir-faire très pointus.
Dans le même temps, cependant, cet essor technologique présente des risques que grand nombre d’entreprises ne prennent pas suffisamment en compte, comme le souligne dans son rapport l’Office parlementaire d’évaluation des choix scientifiques et technologiques.
Les besoins des entreprises en matière de cybersécurité s’intensifient avec le contrôle à distance d’installations industrielles, l’avènement des réseaux intelligents ou smart grids, le recours plus fréquent à l’informatique en nuage, l’explosion de l’internet des objets. Ce sont autant d’occasions pour les cybercriminels d’exploiter les vulnérabilités des systèmes d’exploitation, des navigateurs des applications et des réseaux.
Un véritable marché noir des vulnérabilités et des failles Zero day, vendues très cher, fleurit et s’organise dans l’ombre du partage massif de données, de l’accès gratuit à l’information. Il constitue un risque aussi bien pour la protection des intérêts économiques que pour la sécurité des personnes et des biens.
Il porte atteinte à nos libertés : espionnage industriel, pillage des données personnelles des clients, usurpation d’identité, etc. C’est la raison pour laquelle la prévention doit être au centre de la stratégie des entreprises, alors que le volume des cyberattaques a été multiplié par vingt en dix ans.
Nos entreprises doivent pouvoir évoluer dans un climat de relative confiance. Alors que tout doit aller plus vite dans la course à la compétitivité, elles ont tendance à considérer les cyberattaques comme inévitables et n’y accordent pas les moyens à la hauteur des enjeux pour des raisons de coûts.
Les dirigeants ne sont pas toujours prêts à investir dans la sécurité numérique – vue comme une contrainte par les collaborateurs – et externalisent les services de maintenance.
Pourtant, l’atteinte aux systèmes informatiques perturbe le fonctionnement de l’entreprise, parfois pendant des mois, et peut affecter son intégrité même. Le coût des incidents est ainsi sous-estimé. L’OCDE, a récemment rappelé que le risque doit être appréhendé comme une problématique économique et non pas technique.
Toutefois, le changement des mentalités est en cours, comme en témoignent les initiatives du Club informatique des grandes entreprises françaises, réseau de grandes entreprises dont les recommandations sont reprises par le présent rapport, le travail de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, ou les directives nationales de sécurité applicables aux opérateurs d’importance vitale.
Nous partageons à l’évidence le constat selon lequel la maîtrise de l’outil numérique est peu satisfaisante.
Si l’éducation au numérique doit être renforcée, elle ne doit pas pour autant avoir lieu dès la maternelle, comme cela est proposé, à moins de vouloir favoriser le développement de troubles visuels précoces…
De même, l’instauration de cours de codage à l’école serait inutile, les langages évoluant à une vitesse telle que les ingénieurs doivent en permanence s’adapter à l’issue de leur formation. Et qui serait chargé de transmettre ces savoirs ? Laissons les enfants s’emparer de l’apprentissage des fondamentaux, au lieu de les noyer dans des savoirs technologiques instables et de les former aux métiers d’hier. Seules les règles de base en matière de sécurité numérique à des fins de protection des données personnelles et de la vie privée doivent être transmises.
Pour ce qui est de l’enseignement supérieur, les formations sont, certes tardivement, en train de s’adapter.
Les formations initiale et continue des fonctionnaires et des magistrats au risque numérique sont plus pertinentes.
Quant à la recommandation relative à la mise en place d’un « permis d’aptitude à utiliser le numérique », elle ne se justifie pas, en raison de son coût et de l’impossibilité de garantir la qualité de la formation. Le numérique étant bien plus dynamique que le code de la route, ce permis serait rapidement périmé. La sensibilisation des utilisateurs à la culture du risque numérique relève davantage des administrateurs systèmes et réseaux, avec l’appui des dirigeants des entreprises.
Par ailleurs, le rapport évoque la mise en place d’un cadre européen favorable à la sécurisation des données.
La proposition d’un Google français ou européen a un train de retard et ignore l’existence du moteur de recherche français Qwant, qui ne trace pas les utilisateurs et qui va être lourdement financé par la Banque européenne d’investissement. Encore faudrait-il que les utilisateurs se l’approprient…
La construction d’un droit européen et national adapté face à l’emprise d’une loi américaine extraterritoriale est essentielle. Toutefois, beaucoup reste à faire pour parvenir à réformer en tenant compte de ce qui est techniquement et politiquement possible.
En tant que législateurs, nous aurions aimé avoir plus de précisions sur les questions juridiques. Cependant, nous saluons la qualité du travail de l’OPECST, qui nourrira notre réflexion lors de l’examen prochain par le Parlement des projets de loi sur le numérique.
En conclusion, le cas évoqué par Bruno Sido de cet adolescent américain qui a perturbé tout un établissement hospitalier montre que la cybercriminalité connaît un développement extrêmement rapide et n’est pas près de s’effacer. Nous devons donc être extrêmement vigilants. Dans ce domaine comme dans bien d’autres, le mieux pourrait être l’ennemi du bien !
Applaudissements sur les travées de l'UDI-UC.
Monsieur le président, madame la secrétaire d’État, mes chers collègues, les questions relatives à la sécurité numérique sont au cœur de l’actualité. Le Conseil d’État a d’ailleurs consacré son rapport annuel de 2014 à la protection des données personnelles. Un certain nombre d’études ont également été réalisées et des initiatives ont été prises. De surcroît, nous avons eu récemment un débat animé au Parlement sur le renseignement, qui s’est étendu également à d’autres secteurs comme la défense nationale.
Bref, l’initiative prise par l’Office parlementaire d’évaluation des choix scientifiques et technologiques était particulièrement opportune, car il ne s’agit pas de protéger seulement les données personnelles ou celles qui concernent la défense nationale : aujourd'hui, nous nous penchons sur la protection des entreprises.
La commission des affaires économiques du Sénat a prêté une oreille plus qu’attentive aux propositions qui ont été faites par l’Office. Je félicite en particulier Bruno Sido, qui a conduit avec sa collègue de l’Assemblée nationale des travaux extrêmement intéressants - ils connaîtront, je le pense, un rapide prolongement dans les débats que nous ne manquerons pas d’avoir.
Le rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques souligne tout d’abord que le numérique constitue une formidable chance pour les entreprises. C’est d’ailleurs un truisme que d’insister sur ce que représente le numérique pour la vie des entreprises, aussi bien en ce qui concerne la fluidité des échanges d’informations que la connexion avec un certain nombre de fournisseurs ou de clients ou encore la meilleure information sur les opportunités que peut présenter telle ou telle entreprise.
A contrario, une étude montre que, en 2013, 80 % des entreprises ayant fait faillite n’étaient pas reliées à internet, ne disposaient pas d’un site web et ne participaient pas à la circulation des informations sur les réseaux sociaux. C’est un signal très fort à l’égard des entreprises, notamment des start-up, d’autant que ces dernières sont susceptibles de créer à la fois de l’emploi et de la richesse.
Le numérique est donc incontestablement un atout, mais il comporte également un certain nombre de risques, comme le souligne le rapport de l’Office.
Selon une étude réalisée par le cabinet PwC, 93 % des entreprises de taille intermédiaire ont été victimes de cyberattaque. Je souligne que beaucoup d’entre elles ne le savaient pas et qu’elles l’ignorent toujours !
Dans le même temps, les entreprises hésitent parfois à se donner les moyens de faire face à de telles agressions. D’après la même étude, seulement 8 % des entreprises de taille intermédiaire se sont dotées des moyens de lutter contre les attaques sur les sites numérisés, notamment sur internet. Pour quelle raison ne se protègent-elles pas davantage ? À en croire les nombreuses études réalisées, beaucoup hésitent à choisir maintenant un système de protection en raison de la rapidité du développement des nouvelles technologies. Ces entreprises attendent le système de demain et, pendant ce temps, comme l’a parfaitement décrit Bruno Sido, le pillage continue !
La protection des sites des entreprises est donc un sujet d’actualité. Paradoxalement, même si elles sont peu nombreuses à se protéger, 68 % d’entre elles, toujours selon PwC, affirment qu’elles ont besoin d’être protégées pour asseoir leur position. Voilà pourquoi il convient de leur donner les moyens de renforcer cette protection.
Si certaines dispositions sont de nature individuelle, il appartient aussi aux pouvoirs publics de prendre des mesures de portée nationale et européenne.
Sur le plan individuel, il s’agit d’abord d’améliorer les comportements. Bien des personnels ignorent que leur conduite expose leur entreprise à de vrais risques, notamment parce qu’ils omettent de prendre les précautions, parfois extrêmement simples, permettant d’empêcher une information essentielle de tomber entre les mains d’individus qui, animés de très mauvaises intentions, participent au pillage.
La question du comportement est donc absolument essentielle.
L’Office parlementaire d’évaluation des choix scientifiques et technologiques plaide pour le renforcement d’une culture numérique dès le plus jeune âge, car les jeunes sont les plus familiarisés avec le numérique, même si je constate que notre assemblée ne compte que des spécialistes ! §En tout état de cause, il est important d’apprendre dès le plus jeune âge les gestes permettant non seulement de se protéger sur le plan individuel et personnel, mais également de protéger l’entreprise.
Des mesures doivent être prises par les pouvoirs publics à l’échelon national. À cet égard, la stratégie pour la cybersécurité, qui a fait l’objet d’une communication de la part du Premier ministre le 16 octobre dernier, montre qu’il est essentiel de se donner les moyens de sécuriser nos réseaux, notamment en ce qui concerne les entreprises. Dans le même temps, d’autres initiatives sont prises. Mme Axelle Lemaire nous présentera prochainement un texte sur le numérique. De même, Emmanuel Macron défendra bientôt le projet de loi NOE sur les « nouvelles opportunités économiques », qui donnera lieu à d’importants débats. La commission des affaires économiques participera aux discussions, tout particulièrement pour ce qui concerne la protection des entreprises.
Au-delà des mesures nationales, il faut aussi des mesures prises au niveau européen. Je note que la directive qui protège les données personnelles remonte à 1995. Chacun s’accorde à reconnaître qu’elle est largement dépassée maintenant et qu’une nouvelle version est nécessaire. La Commission européenne travaille actuellement à sa rédaction.
Mais il faut également assurer la sécurité des réseaux.
La Commission a arrêté en 2013 une directive qui doit être examinée par le législateur européen et par les parlements européens. Il faut souligner l’urgence de la présentation de cette directive devant les parlements concernés de façon qu’elle puisse être très rapidement mise en œuvre.
Il y a également d’autres initiatives à prendre, car nous sommes dans un système mondialisé. Il n’y a pas que la protection vis-à-vis de concurrents nationaux, de concurrents européens ; est aussi posée la question, très sensible et donnant lieu à de grands débats, de la relation avec d’autres pays, notamment les États-Unis. On constate, malheureusement, que le pillage est largement organisé par certains de nos alliés politiques et économiques. Il convient, sans tarder, de tirer toutes les conséquences de l’arrêt de la Cour de justice de l’Union européenne sur le Safe Harbor. C’est un sujet qui doit être approfondi, à la fois au sein de l’Office parlementaire d’évaluation des choix scientifiques et technologiques et de notre assemblée.
Le sujet est donc majeur. Nous sommes tous attachés au développement des entreprises, au maintien des emplois, à l’essor des start-up, à la consolidation des positions de nos entreprises au plan européen comme au plan mondial. Il est urgent d’agir et la volonté du législateur est aujourd’huitrès forte !
Applaudissements sur les travées du groupe Les Républicains. – M. François Fortassin applaudit également.
Applaudissements sur les travées de l'UDI-UC.
Monsieur le président, madame la secrétaire d’État, monsieur le premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, mes chers collègues, ce rapport est excellent, comme tous ceux de l’OPECST, au reste, et il est plus que jamais d’actualité à l’heure où la question de la sécurité numérique occupe une place grandissante.
Rappelons-nous l’affaire Edward Snowden, cet employé de la CIA, et de la NSA qui a révélé des informations relatives à un programme de surveillance de masse à l’insu des agences qui l’employaient, et du scandale qui en a découlé.
Ces derniers temps, les attaques contre les sites internet se sont multipliées de façon alarmante. Quelle entreprise, quel gouvernement peuvent se dire totalement à l’abri de ce genre d’attaques et des risques très importants qu’elles engendrent ?
Le cyberterrorisme, car il s’agit bien d’une forme de terrorisme, peut s’attaquer à toutes nos structures : ministères, réseaux de télécommunications, réseaux électriques ou d’eau, signalisations ferroviaires ou routières, centrales nucléaires, comme cela a été évoqué l’an dernier lors d’auditions conduites à l’Assemblée nationale dans le cadre de l’OPECST.
Cela veut dire clairement que toutes nos infrastructures, notamment les plus vitales, peuvent devenir des cibles. À l’heure de la domotique, de l’automatisation, du pilotage à distance, on mesure facilement le risque que courent notre pays et l’Europe.
Face à ces risques, ce rapport propose une trentaine de recommandations. Sans vouloir être exhaustif, j’en citerai quelques-unes : développer la culture et une meilleure connaissance du numérique - cela paraît un minimum ; améliorer la coopération entre tous les acteurs et utilisateurs au sein des entreprises ; enseigner le codage, objectif évoqué par les précédents orateurs, et notamment Bruno Sido ; élaborer un véritable droit européen de la donnée...
Tout cela précéderait l’élaboration d’un vade-mecum de sécurité numérique à l’usage des entreprises, qui deviendrait ainsi une base de réflexions pour la définition d’un véritable plan de sécurisation des données.
Nous le savons, face à la mondialisation numérique, les risques de fraudes, de piratages, de vols, voire de destruction de données, sont de plus en plus nombreux. Or, aujourd’hui, ce qui fait la richesse d’une entreprise, quelle qu’elle soit, ce sont précisément ces banques internes de données.
L’évolution d’internet a conféré aux systèmes d’information une dimension incontournable dans le développement économique des entreprises.
La sécurité numérique représente donc un enjeu majeur pour la pérennité et la compétitivité de nos entreprises.
Il ne faut en aucune manière que le numérique devienne leur talon d’Achille. Nous devons donc développer et, surtout, transmettre ces savoir-faire permettant de prévenir l’ensemble de ces risques.
L’OCDE, dans sa recommandation intitulée La gestion du risque de sécurité numérique et publiée il y a trois mois seulement, insiste d’ailleurs sur la nécessité de mieux appréhender ce problème.
Ce risque, souligne encore l’OCDE, doit pouvoir être évalué et estimé de façon permanente.
Cela veut dire que la maîtrise du risque numérique, et tel est l’avis des experts de la cybersécurité, doit être au cœur des objectifs des entreprises. Pour toute entreprise, il n’y aura pas de développement sans sécurisation de ses données et de ses systèmes de communication.
À l’heure où les risques sont multiples, nous ne devons, mes chers collègues, ni négliger ni sous-estimer celui-là. Donnons-nous les moyens de le prévenir, car il pourrait avoir un effet encore plus dommageable, plus violent et plus destructeur que les attaques subies par la France en 2015.
Applaudissements sur les travées de l'UDI-UC.
Monsieur le président, madame la secrétaire d’État, monsieur le premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, mes chers collègues, le débat que nous avons aujourd’hui est capital. Il s’inscrit dans une discussion plus globale sur l’évolution technologique et les nécessaires adaptations que celle-ci implique. Nos ancêtres ont dû avoir les mêmes préoccupations lors du développement de l’imprimerie...
De moins de 100 millions d’utilisateurs d’internet en 1995, nous sommes passés à plus de 3 milliards aujourd’hui. Cette révolution technologique a eu des conséquences extraordinaires et véhicule un certain nombre de craintes. En tant qu’élus, c’est aussi à nous d’apaiser les peurs et de trouver les solutions pour que puissent émerger une société du numérique et un internet libre, fiable et sécurisé.
On ne peut donc que féliciter très sincèrement pour leur travail nos collègues Anne-Yvonne Le Dain et Bruno Sido. De nombreuses recommandations contenues dans leur rapport sont très intéressantes, comme celles qui sont relatives à la sécurité des entreprises, notamment des plus petites d’entre elles. Je retiens également celles qui concernent les conditions de l’autonomie numérique, et donc de la souveraineté.
Dans le temps qui m’est imparti, j’évoquerai simplement le premier volet, celui de la culture du numérique, en commençant par un petit « hors sujet » - quoique… - sur les lanceurs d’alerte.
Ce premier volet est capital : le développement d’une culture du numérique dès le plus jeune âge doit être une priorité, et ce pour plusieurs raisons.
Premièrement, l’usage massifié d’internet a conduit à de nouvelles exigences technologiques dans le cadre de l’insertion professionnelle et sociale. Malheureusement, les difficultés tant techniques que matérielles empêchent certaines familles d’accéder à un ordinateur personnel ou familial. On considère qu’aujourd’hui environ 25 % des foyers de notre pays ne sont pas équipés d’un ordinateur ou d’une tablette.
Face à cette massification incomplète de l’accès au numérique, c’est à l’école de la République, émancipatrice, de veiller à ce que tous les écoliers du pays puissent s’intégrer dans la société, y compris en maîtrisant l’informatique. Ce constat est bon pour la jeunesse, mais il vaut également pour l’ensemble des classes d’âge, en particulier pour les personnes âgées. Ainsi, la maîtrise des outils informatiques peut être synonyme de barrage contre l’exclusion et la solitude. De nombreuses maisons spécialisées et associations ont d’ailleurs lancé des programmes d’apprentissage et d’équipement en ce sens.
Deuxièmement, l’émergence d’une culture du numérique doit favoriser la gouvernance du réseau, non pas imposée brutalement, mais intégrée et comprise... Si on peut légitimement se féliciter que le réseau des centres d’alerte états-uniens ait homologué une vingtaine de structures en France, on peut regretter que seules cinq d’entre elles soient publiques et coordonnées par l’État.
La gouvernance d’internet et la gestion des attaques aux données par le biais du numérique devraient, à notre sens, relever d’une compétence étatique, en partenariat avec les autres États européens, et même tous les pays du monde. Cela serait la garantie d’une sécurisation des données sensibles pour tous, y compris les entreprises. Pour celles-ci, en effet, la question de la sécurité numérique doit répondre à une exigence d’équilibre entre droit à l’information des citoyens et protection de données sensibles.
Il est évident qu’il faut protéger les entreprises, mais il y a un équilibre à trouver pour qu’elles se sentent en sécurité sans pour autant être intouchables.
Troisièmement, le développement d’une culture du numérique n’est pas une fin de soi, mais il doit être le moyen de faire émerger de nouveaux progrès techniques, scientifiques, sociaux, à l’image de ce qu’a été la démocratisation de l’accès au livre et les avancées qu’elle a induites. Le partage de connaissances et de savoirs de tous les horizons, l’émulation du travail collectif ?... Un réseau immatériel peut le permettre et l’encourager de manière exceptionnelle.
Nous sommes, je pense, tous d’accord ici pour dire que le développement d’internet et du numérique est une chance pour l’Humanité.
Cela étant dit, il me semble que ce développement et les préoccupations qu’il implique ne peuvent pas se limiter aux entreprises et à la préservation de leurs secrets. Dans le même temps, on s’oriente de plus en plus vers l’ouverture commerciale des données privées des citoyens et des données publiques.
Pour ce qui concerne les entreprises, ma crainte, malheureusement trop souvent confirmée, est qu’à force de vouloir absolument protéger nos entreprises et leurs secrets, on en vienne à faire tomber dans l’oubli des dérives et des scandales dont les salariés et les citoyens sont en droit d’entendre parler. La liberté des entreprises ne peut et ne doit pas se faire au détriment des citoyens, et de ceux qu’on appelle les lanceurs d’alerte.
Je sais qu’il est difficile de trouver un équilibre entre sécurité et protection des lanceurs d’alerte, mais les mesures proposées dans le rapport n’abordent pas vraiment cet aspect des choses.
À l’heure où les « conditions de travail » des lanceurs d’alerte sont de mieux en mieux prises en compte dans certaines zones du globe – en Suède, en Australie -, et de plus en plus en recul dans d’autres, notamment en France et en Europe, il paraît essentiel de se pencher sur cette question.
Je profite de ce débat pour évoquer cette question, car le lien est double, à mon sens : la recherche d’une protection de sans cesse accrue des données des entreprises a conduit à la répression des lanceurs d’alerte, et le développement d’internet a permis la massification d’un mouvement qui, de fait, existe depuis les libelles et pamphlets...
Le développement d’internet a permis à ces citoyens de gagner en influence et en audience. Cependant, la législation manque aujourd’hui d’une définition globale permettant de protéger et les entreprises et les lanceurs d’alerte. Il y va, une nouvelle fois, du droit à l’information. L’organisation, le 28 avril, d’un débat sur le secret des affaires au Parlement européen, ainsi que la prochaine loi numérique, que l’on espère, seront des enjeux majeurs.
Sous prétexte de lutter contre l’espionnage commercial, va-t-on brider toutes les initiatives des travailleurs et consacrer l’opacité ? Où trouver un cadre légal qui autorise le droit à l’information, quitte à se pencher sérieusement, et avec un peu d’esprit critique, sur le sacro-saint droit au secret des affaires ?
Pour conclure, mes chers collègues, je rappellerai une dernière fois l’enjeu que nous devons porter aujourd’hui. À l’image de ce qu’il est pour les citoyens, le développement du numérique est une chance pour les entreprises…
M. Patrick Abate. … mais il doit se faire dans le respect, à la fois, des conditions de travail des salariés et du droit à l’information des citoyens.
Applaudissements sur les travées du groupe CRC, du groupe socialiste et républicain, du groupe écologiste et du RDSE.
Monsieur le président, madame la secrétaire d'État, mes chers collègues, il y a tout juste trois ans, le philosophe Michel Serres nous présentait Petite Poucette, symbole d’une génération qui tient le monde au bout de ses doigts.
Révolution de la même ampleur que celles de l’écriture et de l’imprimerie, la révolution numérique a bouleversé en vitesse accélérée toutes nos organisations : économiques, politiques, sociales et culturelles.
Uber, Airbnb, Deliveroo, Linky, Amazon, eBay, sont entrés dans le quotidien de chaque foyer. Le mouvement n’est pas près de s’arrêter, car les besoins ne cessent de croître.
En matière d’éducation avec les MOOC – Massive Open Online Courses –, en matière de santé, avec le développement de la télémédecine et de la domotique, en matière de mobilité et même de démocratie, avec l’expérience réussie d’un premier projet de loi collaboratif, force est de constater que l’appétence de nos concitoyens pour tous ces outils qui améliorent et facilitent leur quotidien ne cesse de grandir.
Il n’est pas inutile de rappeler ici, mes chers collègues, que l’on comptera 500 objets connectés, communiquant entre eux dans un logement intelligent, d’ici à sept ans - à peine plus qu’un mandat sénatorial -, même si cela est difficilement imaginable ! S’il a fallu près de quarante ans à la radio pour franchir la barre des 50 millions d’utilisateurs, cela n’a pris qu’un an à Facebook et neuf mois à Twitter
Pourtant, la rapidité et l’universalité d’internet rendent son appréhension aussi difficile et insaisissable que ses usages semblent évidents et faciles, laissant à la traîne les structures institutionnelles et administratives qui peinent à suivre le mouvement. La société civile avance très vite, installant une « civilisation numérique » dans laquelle les individus eux-mêmes produisent des données.
C’est le saisissant constat dressé par Laure Belot dans son ouvrage La Déconnexion des élites : si les innovations sont toujours venues de la marge, remettant en cause le pouvoir en place et l’ordre établi, jamais elles n’ont été si rapides, créant un décalage croissant entre les usages de la société, d’un côté, et les pratiques et cadres d’analyse des dirigeants économiques, politiques et des intellectuels, de l’autre.
Que penser lorsque l’on sait que seulement 20 % des offres d’emploi passent aujourd’hui par Pôle emploi et qu’il est plus facile de trouver un travail par une annonce sur le site leboncoin.fr ?
Ces bouleversements interrogent d’autant plus qu’à l’heure où la donnée, ou « data », est devenue une ressource précieuse, porteuse d’opportunités économiques nouvelles, se pose la question de sa protection et de sa sécurité. Données personnelles – cartes bancaires, sécurité sociale –, mais aussi données industrielles, militaires, stratégiques : dans cet espace ouvert et libre qu’est internet, comment évaluer les risques et sécuriser les systèmes ?
C’est sur cette question majeure et centrale de la sécurité numérique que s’est penché l’Office parlementaire d’évaluation des choix scientifiques et technologiques.
D’après l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’insécurité informatique entraînerait chaque année la perte de dizaines de milliers d’emplois, les attaques numériques pénalisant la compétitivité des entreprises. En sommes-nous conscients ? Je ne le crois pas. Il est grand temps d’ouvrir les yeux et d’aller voir ce qui se cache derrière nos tablettes !
Le rapport présenté aujourd’hui par Bruno Sido est d’une densité rare et d’une grande technicité, que je tiens à saluer ici. Il présente des pistes de réflexion particulièrement intéressantes, dans lesquelles le Gouvernement a d’ailleurs puisé pour construire la stratégie nationale pour la sécurité du numérique, présentée par le Premier ministre le 16 octobre dernier et dont je me félicite.
De ce rapport, je retiendrai trois points sur lesquels il convient, mes chers collègues, que nous nous mobilisions fortement dans les années à venir.
Premier point : les enjeux de sécurité sont une chance.
Ils sont une véritable opportunité pour notre économie. Quantité de besoins ne sont aujourd’hui pas satisfaits : sondes souveraines, cartographie des risques, détecteurs d’intrusion, audits de sécurité informatique, formations au codage...
Le développement de la cybersécurité est donc un formidable levier de croissance et un facteur de compétitivité pour notre pays. La France compte des acteurs industriels de premier plan, un tissu de PME capables de relever ce défi et des chercheurs de haut niveau que nous devons savoir garder chez nous. C'est un secteur économique et industriel en devenir qui est, bien entendu, porteur de milliers de créations d’emplois, à condition de mettre en place rapidement un écosystème favorable à la recherche, à l’innovation et au développement de nouveaux marchés.
Mais tout cela ne peut se réaliser qu’à condition de développer une stratégie numérique pour la France et pour l’Europe : ce sera mon deuxième point.
À l’heure actuelle, presque tous les acteurs numériques sont américains, de la création des logiciels à la gestion des incidents de sécurité. Un groupe comme Google détient bien plus d’informations sur les individus et les entreprises que la plupart des États, sans même parler de sa puissance financière. L’Europe doit donc renforcer son autonomie stratégique afin de ne pas devenir un espace de déploiement et de confrontation d’outils et de services numériques créés et développés ailleurs.
S’il semble évident que la sécurité informatique passe par l’adoption de nouvelles normes internationales, européennes et nationales, on constate que le fossé se creuse entre l’accélération des innovations numériques et leur encadrement juridique. D’autant plus, comme l’indique le rapport, que si la circulation des données est de compétence européenne, la sécurité nationale reste, bien entendu, du ressort de chaque État membre.
Les propositions du rapport qui prônent d’évoluer vers un droit souple, ajustable et réversible en fonction de l’usage paraissent particulièrement intéressantes. Plutôt que de légiférer sans cesse avec un train de retard, la civilisation numérique nous encourage à développer d’autres types d’encadrements, notamment en matière de sécurité : recommandations, guides de bonnes pratiques, codes de conduite professionnelle, certification, médiation... Cet arsenal peut paraître bien « mou », pour reprendre l’expression de la juriste Mireille Delmas-Marty, mais il doit faire réfléchir les législateurs que nous sommes ! Si nous voulons être efficaces, notamment en matière de sécurité, nous devons nous adapter aux spécificités du numérique.
Cela passe en particulier par la formation d’usagers responsables : ce sera mon troisième point.
Si l’on veut en effet que la sécurité numérique et les comportements responsables dans le cyberespace se développent, il est primordial de sensibiliser dès le plus jeune âge aux bonnes pratiques et aux bons usages.
Cette éducation au numérique au sein du système éducatif, puis tout au long de la vie, suppose la réalisation de contenus pédagogiques, mais aussi et surtout la formation de professionnels de la sécurité numérique, qui seront à même d’acculturer la société française.
C'est un vaste chantier qui attend le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche. Pour ma part, j’y porterai une particulière vigilance, car je suis persuadé que c’est ici que se joue notre avenir.
Je souhaiterais d’ailleurs, comme le préconise le rapport, que le Parlement puisse devenir un lieu exemplaire de la prise de conscience des vulnérabilités du numérique, tout comme les administrations et les collectivités territoriales. L’année 2015 nous a montré combien il était essentiel de pouvoir maîtriser et comprendre la complexité et les subtilités des réseaux et des systèmes d’information. Ne serait-il pas en effet dangereux de s’en remettre totalement aux experts et de rester « déconnectés » des enjeux qui touchent à notre sécurité intérieure et à notre défense nationale ?
Vous connaissez mon engagement en faveur du numérique ; il est plus farouche que jamais. À l’heure où les bouleversements du monde nous invitent à réinventer nos organisations et nos pratiques, il me semble primordial de veiller à ce que l’économie numérique soit un atout pour notre pays, une opportunité pour nos entreprises, mais aussi une chance pour notre démocratie.
Lors des attentats de novembre dernier, nous avons pu constater que le géant américain Facebook avait su immédiatement proposer un dispositif citoyen permettant à chacun de rassurer ses proches en indiquant d’un seul clic qu’il était en sécurité. C’est dire combien ces réseaux sont partout, avec une force de frappe immense, pour le meilleur comme pour le pire. À nous, mes chers collègues, de veiller à ce que l’État et les pouvoirs publics gardent la main !
Applaudissements sur les travées du groupe socialiste et républicain, du groupe écologiste et du RDSE.
Monsieur le président, madame la secrétaire d'État, monsieur le premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, mes chers collègues, le rapport dont nous débattons, très technique et très stratégique, est extrêmement bien documenté.
Il peut paraître indécent, après des jours meurtriers, de nous pencher sur la cybersécurité. Mais, au-delà de notre effroi et de notre juste compassion pour les victimes, nous restons au travail et conscients de toutes nos fragilités. La cyberdélinquance, qui va de la malice de quelques amateurs ne cherchant que la performance ludique quand ils pénètrent un système, à la cybercriminalité, en passant par une simple modernisation de l’espionnage industriel, fait la course avec les progrès des protections et des cryptages.
Ce sont les mêmes petits génies de la programmation qui injectent cookies émetteurs, chevaux de Troie et vers parasites, et qui contribuent à l’élaboration des logiciels de protection. Il suffit d’y mettre le prix…
Les commerciaux et ingénieurs en colloques internationaux savent désormais – je l’espère ! – que la sympathique clé USB restituant les communications qui vous est offerte peut aussi être le petit mouchard numérique domestique de tous leurs travaux et innovations à venir.
Une fois de plus, les artistes, au travers de livres ou de films de fiction, nous projettent dans un hypothétique futur, dans lequel l’arme de la manipulation des données numériques bouleverse le monde. Ils imaginent dans leurs scénarios des parasitages de régulation de températures, de PH ou de pression et des conséquences catastrophiques si l’action porte sur la maîtrise d’un réacteur. Les prises de contrôle des vannes d’un barrage ou de la régulation de la circulation ferroviaire sont des fictions fréquentes. La manipulation des flux financiers, l’entrée dans des data centers concentrant les fragilités, sont les ressorts des dernières intrigues.
Le problème, c’est que la probabilité n’est pas nulle, un simple pillage pouvant ruiner la fiabilité d’une entreprise. TV5 Monde, victime d’une cyberattaque, en paie encore les frais à hauteur de 5 millions d’euros par an.
Parmi les recommandations du rapport, je me concentrerai sur le développement de la culture numérique et l’éducation à la sécurité.
Oui, il existe un décalage entre le recours permanent à l’outil numérique et le manque de maîtrise des citoyens, doublé d’une absence de recul quant au recours plus ou moins opportun à son usage.
Imprudence et naïveté sont de mise : 60 % des enfants de moins de deux ans ont leur photo sur Facebook, à la disposition de tous les publicitaires.
Les attaques dites de « phishing », ou hameçonnage, technique par laquelle des personnes malveillantes se font passer pour vos organismes financiers familiers en envoyant des mails frauduleux pour récupérer vos mots de passe bancaires, font encore des victimes. Comment le citoyen imprudent dans sa sphère intime pourrait-il être vigilant dans son entreprise ?
L’engouement pour les objets connectés ne doit pas nous faire oublier qu’ils sont des émetteurs permanents, vers l’extérieur, de votre vie et de la vie de l’entreprise.
Les élèves d’aujourd’hui seront les acteurs de l’internet de demain : il convient donc de leur donner toutes les clés pour adapter leurs comportements face aux exigences de la sécurité numérique, tant pour eux que pour leur lieu de travail, leur entreprise ou leur administration.
Le socle commun élaboré par le Conseil supérieur des programmes – le décret est désormais publié - précise que l’élève devra savoir le rôle des langages informatiques pour programmer des outils numériques et réaliser des traitements automatiques de données. Il devra connaître les principes de base de l’algorithmique et de la conception des programmes informatiques et les mettre en œuvre pour créer des applications simples. Il sera rodé à l’utilisation d’espaces collaboratifs et à la communication via les réseaux sociaux dans le respect de soi et des autres, faisant la différence entre sphères publique et privée. Donc, on avance !
Reste la schizophrénie des injonctions du XXIe siècle : tout cacher de ce qui relève du secret industriel, au nom des actionnaires, mais avoir un devoir de transparence sur ce que l’on fabrique – je pense aux molécules –, au nom de la santé et de l’environnement ; tout cacher de ce qui est intime, au nom des droits humains, mais tout laisser voir au nom de la lutte contre le terrorisme...
À l’heure où les postiers prêtent serment de respecter le contenu privé des courriers, la loi sur le renseignement, sous couvert de lutte contre le terrorisme, instaure un système algorithmique, les « boîtes noires », qui vise à recueillir en temps réel sur les réseaux des opérateurs toutes les métadonnées permettant de savoir qui écrit à qui, particuliers comme entreprises, quels sites sont consultés...
Le curseur est donc politique : culture et législation sont les pistes proposées, à juste titre, par le rapport. Je forme le vœu que les trois textes préparés par M. Macron et Mmes Lemaire et Valter concilient sécurité et droits humains, qu’ils soient élaborés en concertation, qu’ils soient évolutifs et qu’ils ne laissent pas de trou dans la raquette. La violence croissante des attentats va en effet inciter au sécuritaire.
Les éventuelles règles nouvelles doivent être d’emblée prévues comme évolutives et ne pas façonner les valeurs de demain de notre République ni mettre des outils inédits entre de mauvaises mains.
Applaudissements sur les travées du groupe CRC et du groupe socialiste et républicain.
Monsieur le président, madame la secrétaire d’État, monsieur le rapporteur, mes chers collègues, le travail exhaustif et synthétique de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, dont nous devons saluer la qualité, a le mérite de s’ancrer dans la réalité de la mondialisation numérique sous ses multiples facettes.
L’omniprésence du numérique, la répartition des systèmes d’information, l’interconnexion des réseaux et le nomadisme ont transfiguré les risques relatifs à la sécurité des informations. Avec plus de 75 millions de cyberattaques recensées dans le monde au second semestre 2015, la sécurité du cyberespace est naturellement un enjeu stratégique pour tous : individus, entreprises et États. L’information – les « data » – étant ou devenant la première richesse de chacun, elle est de plus en plus convoitée.
C’est convaincus et forts de ce constat que, dans le beau département de l’Aube, nous avions pensé que notre pays devait accélérer la formation de spécialistes de la sécurité des systèmes d’information rompus à l’identification et à l’évaluation des risques, ainsi qu’à la mise en place de solutions de prévention. Cela s’est concrétisé par la création, au sein de notre université de technologie de Troyes, qui forme des ingénieurs, de la première licence professionnelle d’enquêteur en technologies numériques de France, en partenariat avec la gendarmerie nationale, et par celle d’un master 2 en sécurité des systèmes d’information.
Pour aller plus loin, et pour mieux répondre aux problèmes que vous avez vous-même soulevés, monsieur le rapporteur, nous avions souhaité profiter de la constitution des pôles de compétitivité pour en créer un sur cette problématique ; c’était en l’an 2000. Malheureusement, l’époque n’était pas encore à cette analyse et il nous avait été répliqué que, faute d’entreprises dans une région administrative et dans un périmètre définis, il n’était pas possible de faire un pôle de compétitivité.
Évidemment, maintenant, tout le monde se rend compte que la transversalité est essentielle en la matière ; cela est bien souligné dans votre rapport, monsieur Sido. Nous avons donc perdu beaucoup de temps, qu’il faut rapidement rattraper pour que la France soit en mesure de jouer un rôle majeur en ce domaine.
Monsieur le rapporteur, nous devons avoir la volonté, à travers une politique du numérique, de créer un cluster en France qui rassemble tous les laboratoires de recherche ayant des compétences en la matière. Ainsi, nous arriverons à créer les conditions de l’excellence pour traiter ces sujets qui représenteront un enjeu financier, éthique et sociétal important.
Telle est la modeste participation que je me permets d’ajouter à votre rapport, monsieur Sido, vous qui avez travaillé à ce sujet avec une remarquable compétence. Si nous pouvons, tous ensemble, participer à la création de ce cluster transversal rassemblant les meilleurs pour mettre en œuvre une bonne politique, nous en serons très heureux !
Applaudissements sur les travées du groupe CRC. – M. le vice-président de l’Office parlementaire d’évaluation des choix technologiques et scientifiques applaudit également.
Applaudissements sur les travées du groupe Les Républicains.
Monsieur le président, monsieur le rapporteur, mes chers collègues, en mars 2015, la SNCF, via son service de rappel automatique, laisse fuiter les données personnelles de ses clients, accessibles par la simple touche F5 d’un clavier d’ordinateur.
En avril 2015, TV5 Monde est victime d’une cyberattaque extrêmement forte avec des conséquences très importantes : écran noir sur les onze chaînes du groupe, comptes sur les réseaux sociaux détournés pour afficher des messages de propagande d’un groupe de pirates prétendant appartenir à l’État islamique, perte de la connexion wifi et de plusieurs fréquences de diffusion dans certains pays, avec un coût induit de près de 5 millions d’euros en 2015.
Quelques semaines plus tôt, d’autres sites étaient victimes de piratages : la Maison-Blanche, le site Labio.fr, Orange Business Services, le site de L’Union de Reims et celui de L’Ardennais, et bien d’autres encore.
Le nombre de cyberattaques contre les entreprises françaises a progressé de 51 % en un an, alors que la hausse de ces attaques sur la même période dans le reste du monde était sensiblement moindre. En un an, la France est ainsi passée du quinzième rang au quatorzième rang mondial des pays où la cybercriminalité est la plus active. En 2014, un million de nouveaux logiciels malveillants ont été découverts chaque jour dans les ordinateurs français.
Tout cela a évidemment un coût : selon une étude, les entreprises françaises ont perdu en moyenne 3, 7 millions d’euros l’an passé à cause de telles attaques, ce qui représente une hausse de près de 30 %.
On doit s’interroger aussi sur le profil de ces cybercriminels. Contrairement à une idée reçue, la majorité des menaces ne viennent pas de l’étranger. Un tiers des incidents recensés sont le fait d’employés ou d’anciens employés de la compagnie attaquée. Par ailleurs, une part grandissante de ces incidents vient des fournisseurs et prestataires de services. Il faut aussi noter qu’on assiste de plus en plus à une véritable spécialisation des cybercriminels, plusieurs personnes travaillant sur les différentes phases d’une même opération.
Ces piratages peuvent prendre des formes diverses. Selon la Commission européenne, la cybercriminalité englobe trois catégories d’activités criminelles : d’abord, les atteintes directes à des systèmes informatiques pour perturber leur fonctionnement et anéantir un serveur à distance ; ensuite, la réalisation d’actes illicites recourant aux outils numériques – vol de données bancaires ou personnelles, espionnage industriel, atteinte à la propriété industrielle ou encore sabotage – ; enfin, la modification du contenu d’un espace numérique pour y déposer ou diffuser des contenus illicites.
Ces attaques nombreuses sont de plus en plus sophistiquées et les cyberattaquants tentent de plus en plus de faire diversion, en introduisant dans le réseau de l’entreprise des outils de prise en main à distance ou de transfert des communications.
Il convient également de noter que les pirates ne cherchent pas forcément des informations confidentielles ; de plus en plus, les entreprises sont victimes de demandes de rançon. Les cybercriminels bloquent ainsi les ordinateurs ou les mobiles grâce à des « cryptolockers » et réclament ensuite de l’argent en échange du déblocage des données.
Les entreprises sont donc une cible privilégiée ; manifestement, les risques sont insuffisamment pris en compte. Ainsi, seul un tiers des entreprises du CAC 40 se sont dotées d’un centre opérationnel de sécurité, c’est-à-dire d’une équipe spécifiquement dédiée à la cybercriminalité. Ce constat est inquiétant, sinon alarmant, même si, selon l’étude de PricewaterhouseCoopers, le budget de la sécurité informatique des entreprises françaises a bondi de près d’un tiers entre 2013 et 2014.
Le rapport éclairant et roboratif de notre collègue Bruno Sido et de la députée Anne-Yvonne Le Dain, après avoir dressé ce constat sans appel, propose des recommandations et des solutions individuelles et nationales pour contrer ces risques. Je n’y reviens pas, elles ont été largement évoquées.
Je souhaite simplement insister sur quelques points. D’abord, je veux souligner la nécessité, à l’échelon national, de dispositifs d’information et de soutien à la sécurité informatique en direction des PME, particulièrement vulnérables en raison notamment du coût que représente la constitution en interne d’une équipe dédiée à la lutte contre le piratage. Le vade-mecum proposé dans ce rapport semble parfaitement adapté.
Ensuite, il convient de trouver des solutions à l’échelle communautaire afin de ne pas dépendre des États-Unis pour traiter et gérer les incidents de sécurité informatique. Je partage l’avis des auteurs du rapport, il faut protéger la souveraineté numérique de la France et de l’Europe, et ne pas inclure le numérique dans les accords de libre-échange.
Par ailleurs, la question de l’éducation à la sécurité informatique est d’importance. Certes, il paraît aujourd’hui nécessaire de développer une véritable filière d’enseignement du codage et de la sécurité informatique, mais je pense qu’il convient en même temps d’enseigner, particulièrement, bien sûr, aux jeunes générations, les comportements responsables face aux usages des nouvelles technologies de communications et aux risques que les nouveaux supports et réseaux sociaux peuvent faire courir.
Enfin, il est vrai que ces nouveaux défis sont un réel atout. Nous avons en France de véritables talents, qu’il s’agisse de nos chercheurs en mathématiques ou en cryptologie, de nos fabricants d’antivirus et même de nos jeunes hackers, qui – pourquoi pas ? – pourraient être recrutés pour concevoir, fabriquer et développer des matériels, des logiciels et des systèmes d’exploitation relatifs à la sécurité numérique.
Ces initiatives méritent d’être soutenues. Il y a là un véritable gisement d’emplois, sans parler du marché de la cyberassurance, qui a triplé en un an.
La sécurité numérique peut donc être un véritable atout pour notre pays et pour son développement économique.
Les mesures annoncées en novembre dernier par le Premier ministre reprennent pour partie ces préconisations. Elles s’articulent ainsi autour de trois axes majeurs : communiquer, sensibiliser et légiférer – même si, par nature, l’élaboration législative est longue et que le temps parlementaire est une éternité à l’échelle du numérique.
Nous regrettons ainsi que le projet de loi pour une République numérique, qui sera débattu prochainement à l’Assemblée nationale, n’aborde pas cette question. Nous espérons que le texte présenté par M. Macron traitera le sujet et reprendra certaines des préconisations du rapport de l’Office. Cela permettra d’enclencher une dynamique sectorielle importante, en limitant les contraintes législatives et réglementaires dans un secteur qui demande – vous le savez, madame la secrétaire d’État – souplesse, adaptabilité et réactivité.
Applaudissements sur les travées du groupe Les Républicains et de l’UDI-UC.
Monsieur le président, madame la secrétaire d’État, mes chers collègues, je veux à mon tour saluer l’immense travail accompli par les rapporteurs de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, Bruno Sido et Anne-Yvonne Le Dain, qui nous livrent une analyse scientifique et technologique détaillée des problématiques liées à la sécurité numérique, en particulier dans les entreprises, et qui présentent de nombreuses recommandations.
À ma connaissance, il s’agit du premier rapport sur le numérique se focalisant exclusivement sur les questions de sécurité. Faisant suite au constat de ce nouvel espace économique qui s’est déployé pour les individus comme pour les entreprises, les auteurs mettent en lumière le rôle central des opérateurs d’importance vitale. Plus de deux cents d’entre eux sont en France, notamment dans les secteurs des télécoms et de l’énergie, qui privilégient la capacité de réaction et un partage rapide des informations en cas de crise.
Les rapporteurs se sont aussi imposé – cela est considérable – un examen détaillé de la technique de transmission du système d’information de l’entreprise. Cette analyse fouillée révèle l’ampleur et la complexité du risque numérique ainsi que les enjeux stratégiques et économiques au niveau national, européen et international. Elle souligne aussi l’extrême imbrication des opérateurs et la véritable mainmise des sociétés commerciales et de leur État d’origine sur l’Internet : les géants du numérique, les fameux « GAFA » – Google, Apple, Facebook, Amazon.
Le numérique est ainsi partout : les entreprises, les individus et les États sont de plus en plus dépendants de ces technologies difficiles à appréhender.
Aujourd’hui, la France connectée, avec 83 % des Français qui utilisent internet, est aussi celle du wifi, avec plus de 13 millions de bornes publiques, chiffre qui nous place loin devant les États-Unis. Notre pays est également aux avant-postes du Big data.
Cependant, il accuse un retard certain dans l’accès au très haut débit, retard qui limite ses capacités à profiter des avantages du numérique et de son intégration dans les entreprises.
Conscient de l’importance de ce secteur pour notre avenir économique et des bouleversements majeurs qu’il entraîne sur nos modes de consommation comme de production, le Gouvernement a présenté une série de mesures au plan national comme au plan européen ainsi qu’un projet de loi s’inscrivant dans la stratégie numérique de la France.
L’enjeu est vital pour notre économie et nos libertés individuelles, mais, comme cela a été dit et répété, le développement du numérique ne peut s’accomplir sans un meilleur contrôle des risques qu’il génère pour notre pays, nos entreprises et nos concitoyens.
La plupart des entreprises n’ont, semble-t-il, pas pris la mesure des transformations à venir ni des risques ou de leur vulnérabilité face aux pillages de données, malgré les nombreuses affaires dont les médias se sont fait l’écho. On a cité l’affaire Snowden, dont je veux rappeler qu’il a été le premier informaticien à révéler au monde entier des informations classées secrètes par la NSA – écoutes téléphoniques, interceptions de mails, espionnage d’entreprises et de gouvernements alliés, etc.
La sécurité de l’information comme de l’image des entreprises, que l’on appelle encore « e-réputation », sont donc des enjeux stratégiques et économiques majeurs.
L’analyse des messages numériques des entreprises et de leurs canaux de diffusion confirme que la principale vulnérabilité est liée au comportement de l’homme, ainsi que tous les orateurs précédents l’ont dit.
C’est pourquoi les auteurs du rapport insistent, à raison, sur la nécessité de réduire « l’illettrisme numérique » par l’éducation et par la création d’une culture du numérique. Ils ont été rejoints, sur la première de leurs recommandations, qui préconise une éducation au numérique dès l’école maternelle, par la proposition du Président de la République relative à l’apprentissage du codage informatique dès le cours préparatoire.
Le rapport met également à disposition des entreprises un vade-mecum de recommandations de sécurité numérique. Ce document mériterait d’être vulgarisé auprès des entreprises, qui pourraient ainsi disposer d’un certain nombre d’outils leur permettant de mieux se protéger face aux risques croissants liés au développement du numérique. J’insiste sur ce point.
Madame la secrétaire d'État, après le récent enrichissement du projet de loi pour une République numérique par les différents contributeurs via la plate-forme en ligne, l’un des axes majeurs proposés par le Gouvernement est de renforcer la protection dans la société numérique et de fournir, à travers divers dispositifs destinés à la fois aux citoyens et aux entreprises, de nouveaux outils de confiance propices aux échanges et à la croissance.
Dans cette perspective, nous comptons beaucoup sur votre engagement pour que les riches enseignements développés par les rapporteurs de l’OPECST et les solutions qu’ils proposent figurent également parmi vos priorités. Nous vous en remercions.
Applaudissements sur les travées du groupe socialiste et républicain et du groupe CRC, ainsi que sur quelques travées du groupe Les Républicains.
Monsieur le président, monsieur le rapporteur, mesdames, messieurs les sénateurs, Axelle Lemaire étant retenue en commission par l’examen du projet de loi pour une République numérique, j’ai le plaisir de participer au débat organisé aujourd'hui sur les conclusions du rapport de Mme Anne-Yvonne Le Dain et de M. Bruno Sido, intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises.
Je veux tout d'abord insister sur la qualité des travaux menés par l’Office parlementaire d’évaluation des choix scientifiques et technologiques. Au-delà du rapport dont nous discutons aujourd'hui, ses réflexions et ses préconisations permettent aux responsables politiques de ne pas être déconnectés d’enjeux qui, certes, sont particulièrement complexes sur le plan technique, mais qui touchent au cœur de la vie des Français et des entreprises.
Parmi ces enjeux, les questions liées à la sécurité numérique occupent bien entendu une place de choix.
Mesdames, messieurs les sénateurs, le monde qui s’ouvre à nous, révolutionné par le numérique, est évidemment riche en opportunités, opportunités que nous devons saisir pour maintenir la place de la France parmi les nations les plus modernes et les plus développées. Mais ce monde, et c’est le sujet qui nous préoccupe aujourd'hui, représente aussi une source d’inquiétude pour un nombre croissant de nos concitoyens. Quelle confiance avoir dans la gestion de nos données personnelles ? Quelle confiance avoir dans les informations sensibles ou personnelles que nous échangeons chaque jour ?
Face à ces inquiétudes, il revient à l’État non seulement d’être vigilant, en anticipant les risques comme en sanctionnant les abus, mais aussi d’apporter les conditions de la confiance dans le numérique.
Le laisser-faire n’est pas une option, et c’est sur les deux dimensions essentielles que sont la protection des infrastructures et la protection des données que nous devons agir, en obligeant à plus de transparence, certes, mais également en mettant en œuvre une combinaison de mesures de sensibilisation, d’exigence réglementaire et de contrôle.
Surtout, il faut encourager une culture, un apprentissage du risque, encore balbutiant dans notre pays. En effet, les failles dans la sécurité numérique commencent souvent par une méconnaissance des risques et par des comportements individuels inadaptés.
La sécurité numérique doit devenir un réflexe individuel et collectif. L’excellent rapport de l’OPECST dont nous débattons aujourd'hui œuvre en ce sens.
Pour atteindre cet objectif, nous avons des moyens et des champs d’action bien identifiés. Nous pouvons, d’une part, nous reposer sur le travail de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, et, bientôt, sur les avancées contenues dans le projet de loi pour une République numérique. Nous savons, d’autre part, qu’il faut donner la priorité à l’éducation et l’économie. Tels sont les points que je vais développer dans mon propos.
L’ANSSI a présenté, au mois d’octobre dernier, devant le Premier ministre et Axelle Lemaire, une proposition de stratégie nationale pour la sécurité du numérique. Il faut saluer le travail inédit et ambitieux qui a été réalisé par l’Agence ; il témoigne de l’importance accordée à ce sujet par le Gouvernement.
Plusieurs mesures comprises dans cette stratégie vont dans le sens des propositions du rapport de l’Office.
On peut retenir notamment l’assistance de proximité aux victimes d’actes de malveillance. Cette action essentielle doit être conduite dans un souci de rationalisation des moyens et de qualité du service rendu, sans ajouter au millefeuille administratif.
On peut citer également le développement de l’offre nationale en matière de produits et de services de sécurité. Le ministère joue un rôle central dans ce domaine.
On peut penser aussi à la diffusion des savoir-faire acquis vers le secteur privé : les services de l’État, notamment l’ANSSI, disposent d’un savoir-faire et d’une expertise technique reconnue nationalement et internationalement, qui doit irriguer un écosystème d’expertise privée.
Vient enfin la question de la sensibilisation des citoyens. Elle est l’affaire de tous. Le ministère prévoit de jouer un rôle en la matière, notamment via le programme « Transition numérique », en lien avec l’ANSSI.
D’autres actions sont en rapport direct avec le déploiement de cette stratégie.
Je pense tout d’abord à la structuration du Comité de la filière industrielle de sécurité, le COFIS, qui a eu lieu à la fin de l’année 2013 et qui accorde une place importante aux questions de cybersécurité.
Je pense encore aux 45 millions d’euros du programme d’investissements d’avenir alloués aux projets de sécurité des systèmes d’information sur des thématiques telles que la sécurité des terminaux mobiles ou la détection des attaques informatiques.
La sécurité est aussi l’un des trois axes fondamentaux de l’appel à projets « Grands défis du numérique ».
Enfin, Axelle Lemaire a lancé au début du mois d’octobre un appel à projets sur la protection des données personnelles. Doté de 10 millions d’euros, ce programme permettra à des entreprises françaises de développer une expertise et des produits de niveau mondial, qui leur ouvriront des marchés importants, en même temps qu’ils contribueront à la protection de nos concitoyens.
La question de la confiance est également au cœur du projet de loi pour une République numérique porté par Axelle Lemaire.
Ce projet de loi a un double objectif : d’une part, promouvoir et accélérer la diffusion des données au sein de la société et de l’économie, afin que nous puissions en tirer toute la valeur ; d’autre part, renforcer les droits et les garanties des individus et des entreprises en apportant de nouvelles procédures et de nouveaux moyens.
Ces deux ambitions peuvent parfois paraître contradictoires, et c’est la raison pour laquelle le secrétariat d’État chargé du numérique a souhaité les inclure toutes deux dans le projet de loi. C’est en avançant sur ces deux jambes que l’on construira le meilleur cadre possible de régulation de l’économie numérique.
La France ne doit pas adopter un comportement craintif face aux enjeux qui se présentent en matière de numérique, en particulier sur le sujet de l’exploitation des données. Nous devons nous saisir pleinement du sujet, en créant, en France, les meilleures infrastructures de données et en attirant les meilleurs ingénieurs et les entreprises les plus innovantes.
Dans le même temps, il faut reconnaître que nos outils de régulation doivent évoluer. C’est pourquoi le projet de loi prévoit de rétablir certains droits, comme le droit à l’oubli ou le droit à la mort numérique, pour redonner aux citoyens le sentiment de maîtriser leur vie numérique, qu’ils ont parfois perdu.
Ces questions sont complexes et n’appellent pas de réponses univoques. C'est la raison pour laquelle une consultation publique ouverte s’est tenue pendant trois semaines, afin de permettre à chaque citoyen de donner son opinion sur les projets du Gouvernement. Le bilan en est très positif : plus de 20 000 participants, 8 500 contributions, plus de 147 000 votes et l’intégration dans le texte du projet de loi d’un certain nombre de propositions des internautes.
Aussi technique soit-elle, la question de la sécurité numérique est une source de préoccupation réelle pour les Français. Pour transformer cette préoccupation en un apprentissage collectif en vue d’une plus grande maîtrise, et donc de davantage de confiance, l’éducation et la formation jouent, comme le rapport le souligne, un rôle essentiel.
Une meilleure connaissance du numérique favorisera une meilleure sécurité numérique. C’est pour cela qu’il faut encourager l’apprentissage du code, au moins au titre des activités périscolaires dans un premier temps.
Par ailleurs, le plan numérique à l’école doit inclure la formation initiale et continue des enseignants ou encore l’implication de l’enseignement supérieur et de la recherche.
La grande école du numérique lancée le 17 septembre dernier permettra à des jeunes, à des personnes sans diplôme ou à la recherche d’un emploi de se former aux nouvelles technologies et de trouver un travail. Elle sera également un vecteur de cette sensibilisation.
Mais cette ambition ne se limite pas à la jeunesse : il faut que chaque personne envisageant d’aller sur internet puisse être accompagnée pour maîtriser l’environnement auquel elle va être confrontée.
Pour le grand public, les lieux de médiation numérique sont aussi le moyen d’une éducation aux enjeux de sécurité et de sécurisation des données personnelles. C’est aussi pour cette raison que l’inclusion, l’accès au numérique pour tous sont au cœur du projet de loi pour une République numérique. Cet effort en faveur de l’éducation est indispensable pour faire du numérique une force, et non une menace.
Au-delà, la volonté du Gouvernement est de faire de cette prise de conscience un atout pour notre économie et une chance pour nos entreprises.
Un des plans de la « nouvelle France industrielle » relève de cet objectif, en introduisant notamment un « label France ». Ce dispositif permet d’accorder la reconnaissance et la visibilité qu’ils méritent à des acteurs industriels d’envergure mondiale et à des PME performantes dans le secteur du numérique.
En parallèle, nos entreprises, comme nos administrations, doivent être sensibilisées aux enjeux de cyber-sécurité et disposer des moyens d’y répondre par des offres à la qualité et à la fiabilité reconnues.
Enfin, comme le rapport de l’OPECST le souligne, nous ne devons pas rester isolés dans nos initiatives en faveur d’une plus grande sécurité numérique. Il faut agir à l’échelle européenne, comme en témoigne le récent exemple de l’invalidation de l’accord Safe Harbour.
Par cette décision, la Cour de justice de l’Union européenne a affirmé la possibilité, pour une autorité nationale de protection des données, de contester la validité du mécanisme de la sphère de sécurité qui s’appliquait pour des données transférées aux États-Unis.
Au travers de cet arrêt, la Cour de justice de l’Union européenne a confirmé la position du Gouvernement français, qui demande depuis plusieurs mois une révision de l’accord Safe Harbour afin de protéger les droits fondamentaux des Européens et d’imposer le même régime de contrôle à toutes les entreprises actives sur le marché européen, y compris lorsqu’elles fournissent leurs services depuis d’autres continents. C’est une victoire encourageante.
Telle est la contribution que le Gouvernement pouvait apporter au débat d’aujourd’hui. Ainsi que le rappelle le rapport de l’OPECST, les chantiers sont nombreux et tous sont essentiels. La question de la confiance est bel et bien au cœur de la croissance et de l’appropriation du numérique par la société tout entière.
Vous pouvez compter sur l’engagement du Gouvernement pour convaincre institutions, entreprises et citoyens de l’importance de la sécurité pour bâtir une société numérique à laquelle ces derniers puissent se fier et dans laquelle ils pourront créer des entreprises, échanger, se divertir. Il y va de la compétitivité de notre pays.
Applaudissements sur les travées du groupe socialiste et républicain et du groupe écologiste.
Mes chers collègues, l'ordre du jour de ce matin étant épuisé, nous allons maintenant interrompre nos travaux ; nous les reprendrons à quinze heures.
La séance est suspendue.
La séance, suspendue à douze heures trente, est reprise à quinze heures, sous la présidence de M. Gérard Larcher.
